保护边缘 5G 专网和应用的安全面临着诸多挑战。当面临基于 AI 和 ML 的复杂攻击活动时,应作出实时响应。
派拓网络的安全平台多年来一直在融合 ML 与 AI 技术突破,以确保实时 ML 能力和 AI 驱动的事件响应都是自主的。
NVIDIA 团队与派拓网络团队联合打造智能流量卸载(ITO)的目标非常明确——使任何企业都能在保证安全、性能和效率的前提下拥抱 5G。我们将该 ITO 创建为一个基础解决方案,帮助现代企业建立快速、安全的 5G 专网基础设施。
数据处理单元(DPU)是边缘计算 AI 和 ML 基础设施、超大规模电信云以及任何提供 IT、OT 或 IoT 网络与服务的云中的关键组件。企业客户可以使用 ITO 扩展安全功能并将防火墙总吞吐量提高至少 5 倍。
我们正在为 ITO 带来多项改进,进而提供更多的选择、部署的简易性和更高的性能。这些改进包括:
新增对 NVIDIA BlueField-3 DPU 的支持
具有第 3 层路由功能的扩展部署模式
基于网络地址转换(NAT)的卸载
静态和动态路由功能提供了更多部署选项,而基于 NAT 的卸载功能则可以帮助确保互联网周边的安全,以保护终端用户身份,同时卸载流量。
ITO 在 NVIDIA BlueField-3 上可用
除了集成至现有 NVIDIA BlueField-2 DPU,我们还将产品范围扩大至包括对 NVIDIA BlueField-3 DPU 的支持。
我们的 ITO 解决方案通过 NVIDA BlueField DPU为派拓网络的 VM 系列新一代虚拟防火墙(NGFW)提供加速,可大幅提高吞吐量,同时显著降低基础设施成本。
ITO 增强选项:L3 支持
我们在推出 ITO 时,支持 vWire 防火墙插入模式。这意味着防火墙不执行任何交换或路由功能,而只是充当线缆中的块。这对于不需要路由或切换的特定环境,或者防火墙从单个 L3 域获取所有流量的情况很有帮助。
全新第 3 层模式真正扩展了在数据中心内利用安全解决方案的能力,可以依靠防火墙将流量交换、发送至网络域。
图 1 显示了数据包流在第 3 层模式下的工作原理。
图 1. L3 中的数据包流
在图 1 中,数据包流具有以下特征:
在 L3 模式配置接口 e1/1 和 e1/2。
VR1 配置了到 5G 第 3 层路由器或 UPF 以及到互联网对等路由器的静态或动态路由。
支持标记和未标记的流量。路由器和 DPU 或 NIC 支持 access 或 trunk 模式。
第 3 层模式的数据包流程如下:
数据包从 5G UPF(第 3 层路由器)发送至第 3 层 Leaf/路由器。
数据包到达连接到 DPU 和 SmartNIC PF0 的路由器端口 PA1 时,将被编程以在数据包中添加 vlanX 标记。
数据包到达 DPU 端口 pf0vf0,无论是否移除 VLAN,它们都会被传送到 VM 系列防火墙。
该防火墙在第 3 层模式下运行。它会找到数据包的下一跳及其 MAC 地址。
防火墙根据新的目标 MAC 地址和 vlanY(如需要),通过 gRPC 更新 DPU 和 SmartNIC。
带 vlanY 的标记数据包从 DPU 和 SmartNIC 端口 PF1 到达路由器端口 PA2。
如果数据包未标记,路由器端口 PA2 可添加 vlanY 标记。
数据包被发送至下一跳地址并传送至互联网对端设备。在使用动态路由的情况下,如果有任何路由更新,VM 系列防火墙都会用新的下一跳 MAC 地址更新 DPU。
ITO 增强选项:对 vWire 和 L3 的 NAT 支持
通常,在 5G 部署和某些超大规模企业环境中,PAN VM 系列虚拟 NGFW 可确保互联网边界或南北流量的安全。在此类部署中,您可以使用我们的 NAT 模式来确保终端用户设备不会暴露在互联网上。
我们在 vWire 和第 3 层部署模式中都提供具备 ITO 功能的 NAT 支持。现在,您可以通过 IPv4 配置多种 NAT 模式,例如带有动态 IP 地址和端口转换的源 NAT、目标 NAT 端口转换和转发。
图 2 从数据包流的角度展示了其工作原理。
图 2. 配置 NAT 策略的数据包流
NAT 策略的配置方式如下:
VM 系列防火墙配置了 NAT 策略以执行 IP 和端口到动态 IP 和端口映射的源 NAT。
所定义的 NAT 策略还可以执行目标 IP 以及端口转换和转发。
以下是配置 NAT 策略时的数据包流程:
数据包从 5G 设备通过 5G UPF 或第 3 层路由器发送,源 IP 地址和端口为 172.10.20.30:320。
数据包到达 VM 系列防火墙,并在那里将 NAT 策略定义为执行源 NAT 到动态 IP 地址和端口的转换。源 IP:端口 172.10.20.30:320 将被转换成 192.168.100.15:545。
VM 系列防火墙根据定义的 NAT 策略对数据包进行第 2 层和第 3 层重写,而 NAT 策略可以是带有动态 IP 地址和端口转换的源 NAT,也可以是带有端口转换和转发的目标 NAT。
借助 NAT 转换,VM 系列防火墙通过 gRPC 更新 DPU 和 SmartNIC。
SNAT DIPP 通过保留私有源 IP 地址和端口对与特定公有(已转换)源 IP 地址和端口组合的绑定来保持持久性,以便用于具有相同原始源 IP 地址和端口组合的后续会话。在这种情况下,172.10.20.30:320 及其转换后的 192.168.100.15:545 地址对于多个目标 IP 地址端口都是持久的。
结论
通过利用 ITO 的增强特性,您现在可以获得扩展的选项,在 vWire 或第 3 层模式中部署 VM 系列 NGFW。您可以继续在配有 ITO 的 VM 系列上无缝使用 NAT 功能。您还可以在 NVIDIA BlueField-3 DPU 上使用这些特性,获得更高的吞吐量并将安全性能提高至少 5 倍。
派拓网络与 NVIDIA 携手在不影响性能和效率的情况下为企业带来零信任安全。现在就通过 ITO 部署指南开始在 BlueField DPU 上使用智能流量卸载。
-
NVIDIA
+关注
关注
14文章
4929浏览量
102787 -
AI
+关注
关注
87文章
30072浏览量
268331 -
5G
+关注
关注
1353文章
48361浏览量
563253
原文标题:为企业提供增强型 AI 助力 5G 安全的智能流量卸载
文章出处:【微信号:NVIDIA-Enterprise,微信公众号:NVIDIA英伟达企业解决方案】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论